Como probar tu antivirus de forma segura

Tienes un antivirus gratuito -o un magnífico y moderno EDR– instalado en tu/s sistema/s pero te asalta la duda. ¿Realmente va a funcionar? ¿Está la protección activa y bien configurada? Es posible que en algunos sistemas críticos quieras asegurarte de si tu software de seguridad se comporta como esperas.

Aunque podrías descargar un malware cualquiera y ejecutarlo en tu sistema, para saber si tu antimalware funciona, normalmente será más interesante no correr riesgos innecesarios o vernos en la necesidad de utilizar una máquina virtual para la prueba.

También, claro está, puedes utilizar una herramienta de pentesting, así como externalizar un test de intrusión para que una empresa verifique, pero si solo se trata de comprobar el estado de tu antivirus, no merecerá la pena.

Pon a prueba tu antivirus sin ejecutar malware

A continuación haré una breve relación con algunas de las comprobaciones básicas para probar el funcionamiento de un antivirus o EDR. Ni mucho menos son estas las únicas formas de hacerlo, pero si las más obvias, algunas de ellas utilizadas por mí de forma regular.

Probar la detección de malware con archivo de prueba EICAR

La organización AMTSO (Anti-Malware Testing Standards Organization) pone a nuestra disposición el famoso archivo EICAR desde tiempos inmemoriales y, recientemente, han añadido nuevos test tanto para antimalware de escritorio como para antivirus para móviles Android.

Básicamente, tendremos que copiar y pegar el siguiente texto ASCII en un archivo de texto (notepad.exe, por ejemplo) y guardarlo con extensión .EXE o .BAT.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

NOTA: el tercer carácter es una o mayúscula, no un cero (por si te diera por escribirlo).

También puedes descargar el EICAR directamente.

Una forma de verificar si el antivirus escanea de manera automática determinadas extensiones, al abrir el archivo (on access) es guardar la cadena EICAR con múltilples extensiones de archivo: exe, com, bat, txt, pdf, jpg, docm, xlsx, etcétera.

Te sorprenderás al ver que no todas las extensiones son siempre detectadas, según tu configuración.

EICAR comprimido

Ve a la sección Test de Características de Seguridad si quieres ver todas las pruebas disponibles. Allí encontrarás otras pruebas ligeramente diferentes, como la de prevención de archivo malicioso comprimido, simulando mediante otro EICAR que descargaremos en diferentes formatos.

Poco más que añadir. En el ejemplo, el antivirus de Symantec solo ha detectado uno de los 4 test realizados.

Páginas de phishing

Se intenta simular un intento de phishing en nuestro navegador. Basta con acceder aquí y, si vemos la siguiente página, significa que nuestra protección frente al phishing no es efectiva o no está bien configurada.

El resto de test, PUA (Aplicaciones Potencialmente no deseadas), descargas dirigidas, etc te animo a verlas por tí mismo.

Probar detección de malware en Alternate Data Streams

Los flujos de datos alternativos o Alternate Data Stream podrían teóricamente servir de ubicación para el malware en aquellos sistemas de archivos NTFS. Esta técnica ha sido empleada durante años por parte de los atacantes, permitiendo esconder malware en disco, dado que no todos los antivirus miran en esta ubicación.

Si queires saber si tu producto cuenta con esta capacidad y funciona como debe, puedes realizar la siguiente prueba mediante Powershell. Se trata de crear un archivo EICAR de prueba en una ubicación ADS.

Crearemos, desde una ventana de Powershell, un archivo con el siguiente comando. No tiene ninguna carga perjudicial.

set-content .\Prueba-ADS.txt "Este es un archivo de prueba"

Ahora, insertaremos una linea EICAR dentro del contenido. El antivirus debería detectar y bloquear el intento, como en nuestro ejemplo.

Probar detección basada en comportamiento con Administrador de tareas de Windows

Simularemos en este ejemplo un comportamiento malicioso que podría desencadenarse tras la ejecución satisfactoria de un exploit o malware, en lugar de simular la presencia en disco del mismo.

Esto es una forma de verificar si se detecta malware tipo fileless (comúnmente a través de LOLbins).

El análisis de comportamiento es más eficaz en los EDR o XDR que en antivirus «old school». Es posible que necesitemos uno de tales productos como añadido al antivirus tradicional.

Si queremos verificar si nuestro producto es capaz de suprimir tales intentos, haremos lo siguiente. Empezando por abrir un Administrador de Tareas de Windows como administrador (es posible que tengamos que pulsar más detalles).

Ahora nos moveremos a la pestaña Detalles.

Ordenaremos la lista de procesos por nombre hasta encontrar el proceso lsass.exe. Nos situaremos encima y haremos click derecho para seleccionar esta opción:

Tras pulsar Crear archivo de volcado pueden darse dos opciones:

1. El antivirus o EDR lo bloquea, en cuyo caso el propio administrador de tareas podría cerrarse súbitamente.
2. El proceso se realiza con normalidad y el archivo se guarda en la carpeta C:\Temp de nuestro perfil de usuario.

Básicamente hemos intentado hacer lo mismo que muchos malware tras aterrizar en el equipo, intentar volcar para posteriormente leer el contenido del archivo de Local Security Authority Subsystem, responsable de hacer cumplir las políticas de seguridad.

Test de eficacia de scripts maliciosos en memoria (AMSI)

Otra prueba donde generalmente un EDR detecta más que un antivirus tradicional. Al igual que con la cadena estandarizada EICAR, Microsoft tiene su Antimalware Scan Interface (AMSI) con nuna cadena de prueba diferente.

¿Por qué es interesante en comparación con la opción anterior? Básicamente, porque nos permite escanear código perjudicial dentro de scritps y comandos de Powershell, dentro de Macros de Microsoft Office y dentro de lenguajes de scripting como Javascript o VBScript.

Hoy en día, gran parte de las ejecuciones de malware implican descargar un payload desde una linea de comandos, normalmente Powershell debido a su versatilidad. Luego se cargan estos payloads en memoria y son ejecutados sin dejar rastro en disco (fileless malware).

Para realizar la prueba con AMSI, abriremos un intérprete Powershell y pegaremos el contenido de la siguiente linea:

‘AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c1386’

En caso de no funcionar podemos intentar además con estas otras:

‘amsicontext’

‘Invoke-Mimikatz’ 

Debería, en caso de bloquearse con éxito el comando «malicioso», aparecer un mensaje de error en la linea de comandos, al contrario que en nuestro caso.

Conclusiones

Hemos revisado 4 pruebas diferentes en la lista de test para comprobar la efectividad de nuestro antivirus, de las que nuestro Symantec Endpoint Protection ha suspendido algunas (aunque esto puede ser por mala configuración vs incapacidad del producto).

Hay más formas de realizar pruebas, no es una lista exhaustiva, pero te permitirá comenzar y cubre las áreas más importantes que debes tener en cuenta.

Eso sí, quiere decir que el antivirus/EDR está haciendo su trabajo a «mínimos», no quiere decir que sea capaz de reconocer cualquier intento de ataque basado en estos mecanismos.